Мне говорят что вот так использовать нельзя, нужно всё пихать в password_hash не думая Какая разница? Токен же не вечный всего 30 дней существует в базе и потом уделяется. И как мне известно всякие гуглдекодеры по базе готовой хэшей расшифровку делают , в токене же не будет QWERTY а 32 рандомных символа 0-9a-f PHP: $token = bin2hex(random_bytes(16)); $token_hash = hash('sha1', $token); if(!hash_equals(hash('sha1', $token), $token_hash)) unset($user); Даже этот движок если я не ошибаюсь xenforo что использует форум пароли шифрует sha1(sha1($pswd).$salt) в моем случае соль то и не нужна, токен и так рандомный Крч, объясните почему так нельзя.. P.s одинаковые хэши часто будут и т.д и т.п а в password_hash не будут хэши одинаковые попадаться , так же будут да и куда длина у них больше а это памяти больше занимать будет
если ломанут и получат доступ к БД - то вот они все токены без усилий а хеш подбирать занятие довольно трудоемкое... опять же чего вам это стоит? да ничего ... пару строчек кода... почему бы не сделать?
Тут я тоже подумал, что password_hash имеет больше буквенный запас a-zA-Z0-9 , соль 22 символа . А токен стоит переписывать на пользовательскую функцию от a-z 0-9 A-Z ?